重要な脆弱性情報 タイトル: Portabilis i-Educar 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 の不適切な認証制御 説明: - 最終ステータスインポートツールにおける関数レベルの認証制御の欠陥(BFLA)により、権限レベルが「学校」の認証済みユーザーは、CSVファイルに学籍IDを指定することで、任意の学校ユニットの学生レコードを変更できます。これにより、機関レベルでの分離回避が可能となり、学術データの大量改ざんや破壊につながります。 ソース: - https://github.com/ViniCastro2001/Security_Reports/tree/main/i-educar/BFLA-Final-Status-Import ユーザー: - vini_castro (UID 94745) 報告日: - 2026年01月21日 21時08分 審査日: - 2026年02月05日 20時32分 ステータス: - 承認済み VulDBエントリ: - 344597 [Portabilis i-Educar 2.10未満 FinalStatusImportService.phpのschool_idにおける最終ステータスインポートの不適切な認証制御] ポイント: - 18